后退按钮劫持正在消失Back button hijacking is going away

当网站明显具有攻击性时，用户会立刻关闭并永不回头。你是否曾下载过一个应用，发现它充满欺骗性后立即卸载？这对我来说很常见。但确实存在一些我们每天仍在使用的“真正具有攻击性”的软件。我们之所以不删除它们，是因为这种攻击性更加隐蔽。就像温水煮青蛙——水温慢慢升高，青蛙在完全煮熟前还享受着一池温暖的洗澡水。

这类聪明的恶意软件会一次只引入一个令人沮丧的功能。每次我打开 LinkedIn，都不是出于自愿。可能是朋友分享的一封诱人的工作机会邮件，也可能是某篇文章。无论哪种情况，在我点击链接之前，我都没有打算去浏览信息流。然而我还是会不由自主地进入信息流，不是因为我愿意，而是因为我被耍了。

你看，LinkedIn 使用了一种叫做“后退按钮劫持”的技巧。你点击朋友分享的 LinkedIn 链接，阅读文章，完成后点击后退按钮，期望返回你之前所在的应用。但你并没有回到原来的地方，仍然停留在 LinkedIn。而且现在你来到了主页，信息流加载出诱人的帖子，引诱你继续滚动。

这是怎么回事？你只点了一个链接，怎么会到主页？这就是“后退按钮劫持”。

它是这样工作的：当你点击原始的 LinkedIn 链接时，你会进入一篇文章页面。与此同时，LinkedIn 在后台悄悄运行。它使用 JavaScript 的 location.replace() 方法，将页面的 URL 替换为主页。replace 方法不会在浏览器的历史记录中添加新条目。然后 LinkedIn 手动将原始 URL 推入历史堆栈。这一切发生得非常快，以至于用户从未注意到 URL 或页面的任何变化。

就浏览器而言，你打开了 LinkedIn 主页，然后点击了一篇帖子去阅读。所以当你点击后退按钮时，你会回到主页，信息流加载，然后呈现最吸引人的帖子，让你留在平台上。

如果你花几分钟读了这篇文章，你可能甚至不记得自己是怎么来到这个网站的。所以当你点击后退看到信息流时，你不会质疑发生了什么。你会认为没有欺骗行为发生。

虽然 LinkedIn 只在历史状态中把你推进一步，但更激进的网站可以完全破坏后退按钮。它们每次你尝试后退时都会推送一个新的历史状态，有效地将你困在他们的网站上。在这种情况下，你唯一的选项是关闭标签页。

我还见过开发者无意中破坏了后退按钮，通常是在实现搜索功能时。在一个搜索框中，每次按键都返回结果，经验不足的开发者可能会在每次按键时都推送一个新的历史状态，意图让用户能够返回到之前的搜索词。不幸的是，这会创建过多的历史条目。如果你输入了一个很长的搜索查询，你需要为每个字符（包括空格）点击后退按钮才能回到上一页。正确的方法是只在用户提交或离开搜索框时（onblur）才推送历史状态。

截至昨天，Google 宣布了一项新的垃圾信息政策来解决这个问题。他们的理由是：

人们反馈称，这种操纵行为会让他们感到被操控，最终降低访问陌生网站的意愿。正如我们之前所说，在用户浏览器历史记录中插入欺骗性或操纵性页面始终违反我们的 Google Search Essentials 准则。

任何采用这些策略的网站都将在搜索结果中被降权：

实施返回按钮劫持的页面可能会受到人工垃圾信息处理或自动降权的处罚，从而影响网站在 Google 搜索结果中的表现。为了给网站所有者留出时间进行必要的调整，我们提前两个月发布本政策，将于 2026 年 6 月 15 日正式执行。

我不确定搜索排名对 LinkedIn 的具体影响有多大，但从整体来看，这是一项受欢迎的改变。我希望这种做法能够彻底废除。